Bezpečnost | KeePass | Heslo

Bezpečnostní díra ve správci hesel KeePass umožňuje získat hlavní heslo. Už se chystá záplata

Oblíbený správce hesel KeePass obsahuje vážnou zranitelnost. Ta umožňuje zjištění hlavního hesla z výpisu paměti, což dovoluje útočníkům, kteří kompromitují zařízení, získat heslo i v případě, že je databáze uzamknutá, informuje Bleeping Computer.

Problém objevil bezpečnostní expert známý pod přezdívkou Vdohney, který jako důkaz principu (proof-of-concept, PoC) zveřejnil na Githubu nástroj, s jehož pomocí lze extrahovat hlavní přístupové heslo do aplikace KeePass.

Houstone, máme problém!

Správci hesel umožňují uživatelům vytvářet jedinečná hesla pro každý účet a ukládat je do snadno prohledatelné databáze nebo trezoru hesel, díky čemuž si nemusejí všechna pamatovat. Aby byl tento trezor hesel řádně zabezpečen, musí si uživatelé pamatovat jedno hlavní heslo, které slouží k jeho odemčení a přístupu k uloženým pověřením.

KeePass používá hlavní heslo k šifrování databáze uložených údajů. Tím brání jejímu otevření nebo přečtení bez předchozího zadání hesla. Pokud je však toto heslo prozrazeno, může útočník získat přístup ke všem přístupovým údajům uloženým v databázi. Proto je pro správné zabezpečení správce hesel velmi důležité, aby uživatelé hlavní heslo střežili a nikomu ho nesdělovali.

Nová zranitelnost v aplikaci KeePass, evidovaná jako CVE-2023-3278, umožňuje zjištění hlavního hesla, kromě prvního jednoho nebo dvou znaků, v podobě čistého textu. Funguje bez ohledu na to, zda je pracovní prostor KeePass uzamčen, případně i v okamžiku, kdy je program zavřený.

Nástroj získá téměř celé heslo

„KeePass Master Password Dumper je jednoduchý proof-of-concept nástroj sloužící k vypsání hlavního hesla z paměti programu KeePass. Kromě prvního znaku hesla je většinou schopen získat celé heslo v podobě prostého textu,“ varuje bezpečnostní expert na GitHubu.

„V cílovém systému není vyžadováno spuštění kódu, stačí výpis paměti. ... Může to být výpis procesu, stránkovací soubor (pagefile.sys), hibernační soubor (hiberfil.sys) nebo výpis paměti RAM celého systému. Nezáleží na tom, zda je pracovní prostor uzamčen, nebo ne.“ uvádí Vdohney v popisku.

Chyba je způsobena tím, že software používá vlastní pole pro zadávání hesel s názvem „SecureTextBoxEx“, které zanechává v paměti stopy po každém znaku, který uživatel zadá. „Toto textové pole se nepoužívá pouze pro zadávání hlavního hesla, ale i na dalších místech v aplikaci KeePass, například v polích pro úpravu hesel (takže útok lze použít i k obnovení jejich obsahu),“ vysvětluje Vdohney.

Zranitelnost se týká nejnovější verze programu KeePass 2.53.1, a protože se jedná o open-source program, jsou pravděpodobně zasaženy i všechny od něj odvozené aplikace. Ačkoli byl koncept testován v systému Windows, měl by s určitými úpravami fungovat i v systémech Linux a MacOS, protože problém není specifický pro operační systém, ale pro způsob, jakým KeePass zpracovává uživatelský vstup.

Opravdu to funguje, záplata je na cestě

Vzhledem k tomu, že pro získání hlavního hesla KeePassu je nutné získat výpisy paměti, vyžaduje zneužití této chyby fyzický přístup nebo infekci cílového počítače malwarem. Malware, který krade informace, může rychle zkontrolovat, zda v počítači existuje nebo je spuštěn program KeePass, a pokud ano, provést výpis paměti a odeslat jej spolu s databází KeePassu zpět útočníkovi.

Bleeping Computer otestoval nástroj na obnovení hesla. Nainstaloval KeePass na testovací zařízení a vytvořil novou databázi s hlavním heslem „password123“. Po uzamknutí pracovního prostoru spustili zkompilovaný nástroj, který skutečně získal většinu hesla – chyběla pouze první dvě písmena.

Vývojář KeePassu Dominik Reichl obdržel hlášení o chybě a slíbil vydání opravy ve verzi 2.54, která by měla být dostupná počátkem června. Již vydal testovací verzi s novými bezpečnostními vylepšeními, která problém zmírňují, takže ti, kdož jsou ochotni akceptovat případné nestabilní chování, ji mohou nainstalovat odsud.

Diskuze (7) Další článek: Facebook posílal evropská data do USA. Za porušení GDPR zaplatí rekordních 1,2 miliardy eur

Témata článku: , ,